核心提示:根据病毒传播主服务器信息,这一病毒被命名为悍马(Hummer)病毒。目前悍马病毒的累计感染量达到9388万,今年以来,全球日活峰值超140万,平均日活119万,超过以往其他所有手机病毒的感染量。猎豹移动估算,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
“一家中国公司很可能制造出了感染量达全球第一的安卓手机病毒。”
这是近日,包括移动安全厂商猎豹移动、Check Point、Lookout等先后发出的一项安全警报所指向的可能性结果。
根据病毒传播主服务器信息,这一病毒被命名为悍马(Hummer)病毒。目前悍马病毒的累计感染量达到9388万,今年以来,全球日活峰值超140万,平均日活119万,超过以往其他所有手机病毒的感染量。猎豹移动估算,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
“悍马病毒(Hummer)可以说是有史以来感染数量最大的手机病毒。”猎豹移动安全专家李铁军在接受记者采访时说。此前,大部分有影响的病毒,其感染量在20-30万的级别,去年感染数量较大的病毒幽灵推是近100万日活。
而在对这一病毒样本仔细分析之后,记者发现,多条线索都指向同一家公司——微赢互动,该公司在2015年被A股上市公司明家联合收购。
截至记者截稿时止,微赢互动并未对外回应。针对悍马病毒及其幕后公司,猎豹移动称已在今年6月份就上报国家病毒监测中心,目前已经有了用户端的安全解决方案。
日赚50万美元黑钱
悍马病毒最初的样本是在2014年被发现。李铁军告诉记者,当时悍马病毒感染量较小,2015年后开始上升,到了2016年上升明显。尤其在今年年初时,猎豹移动安全实验室对印度top 10的手机病毒样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。
Check Point也在博客中称,从今年2月开始,他们留意Yingmob(中文名:微赢互动)已有5个月时间。
具体而言,悍马病毒往往是捆绑在一些小功能的软件中,欺骗用户进行下载安装。用户的手机一旦被悍马病毒感染,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装大量同类变种、推广应用、 以及其他病毒,中毒手机用户会损失大量手机流量费。
由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。
而这一病毒全球累计感染量惊人地超过了9000多万。根据猎豹移动安全实验室监测数据,仅在2016年1-6月,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。如果以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
从全球范围看,悍马(hummer)手机病毒感染用户中,印度、印尼、土耳其位居前三,中国居第4。
其中,印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。
而Check Point数据也称悍马病毒的感染量超过8500万,其中大多数受到感染的设备目前都在中国和印度,两国已经发现的案例都超过了100万。美国估计也有大约25万部安卓设备受到感染 。
这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。
中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。
李铁军告诉记者,猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。
病毒源头指向中国公司
通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发。
在病毒域名的whois(是用来查询域名的IP以及所有者等信息的传输协议)信息中,有两家是商业广告公司的网站: hummermobi 和hummeroffers,注册人是“chenyang” 。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。
记者查询工商注册资料,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。而注册这些域名使用的邮箱,被猎豹安全技术人员发现用于新浪微博的用户账号,账号名分别包括“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。查阅公开资料不难发现,IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。
根据上市公司已公开信息,微赢互动的联合创始人之一陈阳与之重名,是该公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约在1.5亿元。
猎豹移动追踪到与微博名为“McVivi_Vip”相关的某网盘,其中有大量关于该公司制作恶意程序的内部文档。
此外,在病毒域名的注册资料中,发现地址信息“重庆市渝中区大溪沟星都大厦5层”,这一地址正是微赢互动公司重庆分公司的办公地址。
更意外的是,该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上。悍马病毒制造者员工建立的账号在SourceForge平台上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。
“通常做手机病毒的人员都很注意隐藏,这种真名实姓注册域名来经营管理病毒的很少见。”李铁军说。
至此,病毒制造者的线索,均指向上市公司明家联合的全资子公司微赢互动。
而Check Point也在博客中透露微赢互动的运作方式:其选择与一家合法的国内广告分析企业合作,分享其资源和技术。该团伙具备高度组织性,拥有25名员工,分成四组负责开发这一手机病毒。其运作方式与曾经主要针对中国国内iOS用户的YiSpecter病毒很像,Check Point认为,两者之间的高度雷同决不是巧合。
从病毒样本的时间节点上,猎豹移动安全专家也发现了一些巧合之处:2015年5月,病毒1.0版本被截获,仅有2个样本,短短两个多月之后,样本数量增加到近200个;通过搜索引擎发现,2015年6月微赢互动被明家联合(原明家科技)收购。
截至记者截稿时止,针对疑造手机病毒一事,明家联合和微赢互动并未对外回应。
这是近日,包括移动安全厂商猎豹移动、Check Point、Lookout等先后发出的一项安全警报所指向的可能性结果。
根据病毒传播主服务器信息,这一病毒被命名为悍马(Hummer)病毒。目前悍马病毒的累计感染量达到9388万,今年以来,全球日活峰值超140万,平均日活119万,超过以往其他所有手机病毒的感染量。猎豹移动估算,以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
“悍马病毒(Hummer)可以说是有史以来感染数量最大的手机病毒。”猎豹移动安全专家李铁军在接受记者采访时说。此前,大部分有影响的病毒,其感染量在20-30万的级别,去年感染数量较大的病毒幽灵推是近100万日活。
而在对这一病毒样本仔细分析之后,记者发现,多条线索都指向同一家公司——微赢互动,该公司在2015年被A股上市公司明家联合收购。
截至记者截稿时止,微赢互动并未对外回应。针对悍马病毒及其幕后公司,猎豹移动称已在今年6月份就上报国家病毒监测中心,目前已经有了用户端的安全解决方案。
日赚50万美元黑钱
悍马病毒最初的样本是在2014年被发现。李铁军告诉记者,当时悍马病毒感染量较小,2015年后开始上升,到了2016年上升明显。尤其在今年年初时,猎豹移动安全实验室对印度top 10的手机病毒样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。
Check Point也在博客中称,从今年2月开始,他们留意Yingmob(中文名:微赢互动)已有5个月时间。
具体而言,悍马病毒往往是捆绑在一些小功能的软件中,欺骗用户进行下载安装。用户的手机一旦被悍马病毒感染,会首先ROOT中毒手机获得系统最高控制权,再频繁弹出广告,后台下载静默安装大量同类变种、推广应用、 以及其他病毒,中毒手机用户会损失大量手机流量费。
由于病毒得到系统最高控制权,一般手机杀毒软件无法彻底清除悍马病毒,即使将手机恢复出厂设置,以及进入recovery系统wipe data(安卓用户熟悉的手机双清)都无法清除。
而这一病毒全球累计感染量惊人地超过了9000多万。根据猎豹移动安全实验室监测数据,仅在2016年1-6月,悍马(Hummer)病毒平均日活119万,超过其他所有手机病毒的感染量。如果以每台中毒手机每天仅安装一个App最低收入0.5美元估算,悍马病毒团伙每天获利超50万美元。
从全球范围看,悍马(hummer)手机病毒感染用户中,印度、印尼、土耳其位居前三,中国居第4。
其中,印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。
而Check Point数据也称悍马病毒的感染量超过8500万,其中大多数受到感染的设备目前都在中国和印度,两国已经发现的案例都超过了100万。美国估计也有大约25万部安卓设备受到感染 。
这些病毒自带ROOT模块,最新变种拥有18套不同的ROOT方案,一旦手机被感染,病毒即获得最高系统权限,因而一般的毒查杀方法均不能彻底清除。
中毒之后,手机会频繁弹出广告影响正常操作。病毒会推广手机游戏,甚至在后台静默安装色情应用,许多中毒用户发现手机总是被莫名安装很多软件,卸载之后不久再次被安装。
李铁军告诉记者,猎豹移动安全专家在一部测试手机安装该病毒App,结果病毒在短短几个小时内,访问网络连接数万次。消耗用网络流量2GB,下载apk超过200个。
病毒源头指向中国公司
通过对病毒样本的分析,猎豹移动安全专家追踪到用于病毒升级的域名,自2016年年初开始,悍马病毒投入cscs100.com等12个域名用于病毒更新和推广指令下发。
在病毒域名的whois(是用来查询域名的IP以及所有者等信息的传输协议)信息中,有两家是商业广告公司的网站: hummermobi 和hummeroffers,注册人是“chenyang” 。经过查阅上市公司公开资料,这两个域名属于上海昂真科技有限公司,该公司为北京微赢互动科技有限公司在上海的全资子公司。
记者查询工商注册资料,上海昂真科技有限公司重庆分公司的法人代表叫陈阳,是两个病毒更新域名的实际持有人。而注册这些域名使用的邮箱,被猎豹安全技术人员发现用于新浪微博的用户账号,账号名分别包括“Iadpush陈阳”和“McVivi_Vip”,微博简介为IAdPush员工。查阅公开资料不难发现,IAdPush是微赢互动旗下的广告平台,主营业务为移动广告。
根据上市公司已公开信息,微赢互动的联合创始人之一陈阳与之重名,是该公司负责技术的CTO,名列上市公司明家联合的第十大股东,以现有股票价格计算,其身价约在1.5亿元。
猎豹移动追踪到与微博名为“McVivi_Vip”相关的某网盘,其中有大量关于该公司制作恶意程序的内部文档。
此外,在病毒域名的注册资料中,发现地址信息“重庆市渝中区大溪沟星都大厦5层”,这一地址正是微赢互动公司重庆分公司的办公地址。
更意外的是,该病毒组织员工安全意识薄弱,竟然把密码公开放到代码托管网站SourceForge.net上。悍马病毒制造者员工建立的账号在SourceForge平台上传了大量内部资料,包括广告后台使用流程(这个后台同时也是病毒的升级地址)等机密文件,甚至包括App测试流程、KPI考核文档等。
“通常做手机病毒的人员都很注意隐藏,这种真名实姓注册域名来经营管理病毒的很少见。”李铁军说。
至此,病毒制造者的线索,均指向上市公司明家联合的全资子公司微赢互动。
而Check Point也在博客中透露微赢互动的运作方式:其选择与一家合法的国内广告分析企业合作,分享其资源和技术。该团伙具备高度组织性,拥有25名员工,分成四组负责开发这一手机病毒。其运作方式与曾经主要针对中国国内iOS用户的YiSpecter病毒很像,Check Point认为,两者之间的高度雷同决不是巧合。
从病毒样本的时间节点上,猎豹移动安全专家也发现了一些巧合之处:2015年5月,病毒1.0版本被截获,仅有2个样本,短短两个多月之后,样本数量增加到近200个;通过搜索引擎发现,2015年6月微赢互动被明家联合(原明家科技)收购。
截至记者截稿时止,针对疑造手机病毒一事,明家联合和微赢互动并未对外回应。
返回网站首页>>- 中国联通宣布成功开通第一条跨太平洋100G电路
- 点入移动李勇:开放的形式究竟能给广告主带来什么
- 从戴尔到苹果:跨国巨头在华的上山下乡
- 报告称中国移动互联网“跑马圈地”已是历史
- 沈希洁:我在小米电视是这样做设计
- 市场机制何以没有导向互联网信息搜索服务的良序?
- 杨元庆怪中国移动害惨联想手机 翻身仗难打
- 国人去年"扔了"4亿部手机 其中4000万部居
- 江苏交通联手百度地图实时发布暴雨路况信息
免责声明:
1、本网转载文章目的在于传递更多信息,我们不对其准确性、完整性、及时性、有效性和适用性等作任何的陈述和保证。本文仅代表作者本人观点,并不代表本网赞同其观点和对其真实性负责。
2、中国产业信息研究网一贯高度重视知识产权保护并遵守中国各项知识产权法律。如涉及作品内容、版权和其它问题,请马上与本网联系更正或删除,可在线反馈、可电邮(link@china1baogao.com)、可电话(0755-28749841)。
